企业VPN解决方案以及相关产品

一、前言

随着Internet在企业领域应用的不断深化，VPN（虚拟专用网，VirtualPrivateNetwork）作为一种廉价安全的组网方案越来越受到人们的青睐。在北美和欧洲，VPN已经是一项相当普遍的业务；在亚太地区，该项服务也迅速开展起来，据专业人士预测，在2003年，全球VPN市场将达到500亿美元。在国内市场，VPN已经成为众多有实力的互联网服务商争夺的热点，相关报道充斥各大媒体。VPN的魅力为何如此之大？对于企业，VPN价值何在？

VPN（虚拟专用网，VirtualPrivateNetwork）指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

从面世到成熟，VPN经历了技术不断完善的过程。目前，市场上的VPN解决方案有几种，最常用的是VPDN，就是基于拨号的VPN；第二种是VPRN，是基于路由的VPN；第三种是VLL，是基于虚拟专线的VPN；最后一种VPLS是基于局域网仿真的VPN。

企业利用Internet构筑虚拟专用网络(VPN)，意味着可以削减巨额广域网成本，然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。削减广域网成本，吸引新客户，这是当今每一位企业主管的求胜之路。但是涉及到Internet，企业有得又有失，比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%，而且可以将Internet上的多个网站连接起来，使企业接触新的企业伙伴和客户。二、如何构筑虚拟专用网VPN

2.1明确远程访问的需求

首先企业要明确需要与哪种WAN连接，用户是通过LAN/WAN还是拨号链路进入企业网络，远程用户是否为同一机构的成员等问题。

WAN的连接有两类：内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户，这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。

对于内联网连接，VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策，远程用户至少要经过一次认证。

围绕下属办事处，VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素，从下属办事处的密钥和锁，到计算设备的物理访问，再到可访问设施的非雇员数量等等。如果所有这一切都万无一失，在总部和下属办事处之间就可以建立一个"开放管道"的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证，因为我们认为这样的连接是安全的。但是，如果这些地方有问题，网络设计人员就要考虑采用更严格的安全措施。例如，VPN需要严格认证，或者将对总部网络的访问限制在某个孤立的子网中。

2.2注重管理

企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的，决策中还要确定相应的VPN设备和实施选择方法。

一般来说，决策者应解决VPN特有的几个问题：远程访问的资格，可执行的计算能力，外联网连接的责任，以及VPN资源的监管。另外，还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然，决策中应包括一些技术细节，例如加密密钥长度，如果VPN的加密算法要求公开认证，则还需要法律的支持保护。

对外而言，决策中应具体说明及时通报远程用户人员变更的步骤，被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常，企业的人事部门已制定有人事管理规定，这些规定可能也适用于VPN用户。

2.3确定最佳的产品组合

可选择的VPN产品很多，但产品基本上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。

硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。

基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道，而硬件产品则不同，它们一般为全部信息流量打开通道，而不考虑协议要求。因流量类型不同，特定的通道在远程站点可能遇到混合信息流时分优先级，例如有些信息流需要通过VPN进入总部的数据库，有些信息流则是在网上冲浪。在一般情况下，如通过拨号链路连接的用户，软件结构也许是最佳的选择。

软件系统的问题在于难于管理，它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制，甚至一些软件包需要对路由表和网络地址方案进行改动。

基于防火墙的VPN则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导，因此，提供操作系统保护是这种VPN的一大优势。

什么时候企业选择基于防火墙的VPN呢？一般是在远程用户或网络充满潜在敌意的时候。这时，网管员可建立起所谓的非军事区（DMZ）部分，系统一般使用在防火墙上的一个第三方界面，并有自己的访问控制规则。攻击者也许能到达DMZ，但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的，它是软件产品中最容易保证安全和管理的产品。

对于这三种VPN产品，网管员还要在四个领域进行考核：协议处理、IP安全支持、认证服务器支持和加密密钥的引出。

例如：虽然大多数公司网络为多协议型，但VPN产品只解决IP协议的传输，如果其他协议如IPX或SNA需要传送，用户需要寻找能为这些协议加密，或者能将它们打包成IP，让基于IP的VPN系统处理的方案。显然，后一种选择可能会降低系统性能。

IPSec是IETF(InternetEngineeringTaskForce)组织为TCP/IP协议集增加的标准认证与加密功能。随着IPSec越来越稳定和实施越来越广泛，VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作，但是到目前为止，实施成功的VPN通常意味着要从同一家厂商购买所有的设备。

尽管大部分VPN可保留自己的认证数据库，但网管员也希望借助于现有的认证服务器。比如，许多远程访问服务器使用下述两种协议之一的外部系统来认证用户：远程认证拨入用户服务器（Radius）或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性，即无论增加多少台访问设备，一台认证服务器就足矣。

如果一个企业的VPN延伸到海外，网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但一般跨国经营的美国公民可能需要部署两个VPN系统：一个加密功能较弱，用于国际用户的，一个加密功能较强，用于国内用户。三．用户需求

实现总公司和各个分公司的业务数据、控制数据和财务数据的传输，并且使数据传输的保密性、安全性、完整性得到保证。

四.技术解决方案：

4.1VPN网络拓扑图:4.2为什么要使用IPSECVPN建网方式

第三层隧道协议用于组建IPVPN，最著名的是IPSec协议。IPSec工作在IP层（第三层），为IP层及其上层协议提供保护，对于用户和应用程序来说是透明的。这种隧道协议是在IP网络上进行的，因此不支持多协议。4.3产品介绍：

VTINFOFMB-712:

VTINFOFMB-712VPN/防火墙简介:

VTINFOFMB-712VPN/防火墙通过一整套的点对点的集成（防火墙、路由、VPN）的一体化的解决方案，使员工、客户、商务伙伴与公司连接。如今，各企业可充分利用VTINFOFMB-712VPN/防火墙来达到强有力的、费用低廉的基于互联网（INTERNET）的商务组合，并享有无与伦比的通信安全。

严格的安全控制及简便的安装采用VTINFOFMB-712VPN/防火墙，所有敏感的数据都将被保护在专用的通道中并以3DES加密，VTINFOFMB-712VPN/防火墙非常易于安装。所有安全功能对于用户来说是透明的，在他们的应用程序将看不出任何变化，为简化一切，基于WEB的管理（三种语言直接切换），让您的经理可以在任何WINDOWS系统上管理多个设备，且不需经历复杂的网络设计和安装烦人的软件。

为用户节省开支最佳手段作为线路租用、帧中继的连接补充，企业可以通过INTERNET的宽频连接，VTINFOFMB-712VPN/防火墙可以将您的企业、远程伙伴、分之机构建立安全的连接，从而大幅度地减少您的远程通信的开支。

以下是VTINFOFMB-712的参数：VTINFOFMB-712规格CPUVIA1GHzSDRAM128MSDRAMFlash16MBWANPort两个10/100Base-TLAN一个10/100Base-TDMZ一个10/100Base-TPower100~240VAC(Autosensing)VTINFOFMB-712功能列表支持多种语言可随时切换英文/繁体中文/简体中文最大联机数同时接入的联机可达110000个NAT可以使所有计算机经由一个真实IP去浏览Internet具备Transparent模式透过网络通透模式不必修改网络架构,提供安全的网络环境MultipleNAT可以让不同的Subnet经由不同的IP出去频宽管理（Qos）管理者可将有限的频宽，依照所设定的比例＆优先级，分配给所有使用者RADIUSServer提供外部RADIUSServer认证功能认证表(Authentication)提供AuthenticationUser，内部使用者需有合法的帐号和密码方可连外，网络管理更方便传输量(Quota)对每日最大传输量(Quota)有限制的功能工作排程可以按照时间来做时间的排程DHCP服务器可以自动分配IP给局域网内的用户DHCP客户端在CableModem及FTTB+LAN的用户可以经由ISP分配IP独立的DMZ具备独立的DMZPort,让您的网络更加安全内至外管制条例/权限管理管制内部人员使用Internet的权限外至内管制条例/权限管理可以管制外部的联机连进来您的内部网络流量监控监控您的使用流量联机纪录藉由联机纪录可以查看您的联机纪录以查找联机的问题统计纪录(AccountingReport)可个别针对所有通过频宽管理器的内部/外部网络及各种通讯服务下载/上传流量所做的统计静态路由支持静态路由虚拟服务器可以让您在内部架设如Web,FTP,Mail.....等服务器DNSProxy内建DNS代理服务器经由Internet管理及设置可藉由Internet远程进入路由器进行设置及管理经由Internet升级韧体可藉由Internet远程进入路由器进行软件的升级指定IP分配可以经由DHCP服务器分配固定的IP给指定的计算机使用特殊软件应用经由端口的设置,可以让您的特殊应用软件可以正常使用动态DNS支持国外,台湾,及大陆地区的动态DNS服务商防火墙功能具备防火墙功能,防止黑客的攻击网站过滤可以按照网址或是关键自来进行网站过滤具备VPNIPSec/PPTP服务器/客户端提供PPTP服务器功能,可以做LANToLAN及远程单机拨入具备VPNHUB功能可以当作VPNHUB来使用支持多种协议支持SHA-1/MD-5/DES/3DES/AUTOKEY/IKE...........等黑客预警当受到黑客攻击的时候会立即发送Mail通知管理者支持操作系统Windows95/98/ME/XP/2000,MACO/S,UNIX……

通过对群组概念的应用，可以方便的对网络存取规格进行设定。

★具备NAT及Transparent模式,适用于任何环境使用.

完整的事件记录功能，可以让用户通过事件记录检查让您在可随时检查之前是否有做了不当的设定。

资料导入/备份功能，您可以在一台机器上将设置完成，然后利用这个功能，导入到其它机器中。

无使用人数的限定，无网络扩充方面的问题。

通过中/英文操作接口的设计，对用户提供了最方便的操作平台。

★高度安全的设计思想

使用状态封包检查（StatefulInspection）的技术，来过滤穿过防火墙到内部局域网的封包。

具备网络攻击DoS（DenialofService）的侦测与阻挡功能。

提供追踪警示功能，记录有安全相关的事件，并可以在紧急事件发生时，能过Mail方式提醒您。

★远程管理让管理者可利用Internet设定防火墙

利用浏览器快速操作方式,使用者可以随时更新或升级软件版本.

监控记录(Log)实时的显示并加以记录的功能,记载着所有进出宽频分享器的封包类型、时间、来源IP地址与目的IP地址.

流量统计(Statistics)记录过去进出内部局域网络的封包流量

能过设定网咱存取规则（Policy），可以制定规则限制特定服务或应用程序。

独立的DMZ埠，可以允许Internet使用者透过防火墙存取您开放的服务器。同时，DMZ与内部局域处于两个不同的区域内。

★标准的虚拟私人网络VPN功能(IPSec/PPTP)

IPSecVPN模块是以168BitsIPSecVPN标准高效能加密传输技术，提供最安全的网络防护，可以让您的分公司与您的内部网络透过Internet建立一个虚拟企业网络.并且支持IKE动态交换加解密的金钥.

工作排程功能可让您设定您定期要做的工作，例如您想对公司内部网络的存取权限，在上班与下班时间想做不同的设定,并定期将纪录文件E-Mail给您。

VPN建立安全的远程用户存取(RemoteAccess)功能，IPSecVPN模块可以让您透过支持IPSec标准的VPNClient软件，提供拨接或远程使用者进行存取内部网络资源，而联机过程都经过加密处理。

通过网页过滤(URLFiltering)功能，您可以用万用字符(Wildcard:*,?)或是以关键词(KeyWord)来限制使用者浏览具有不雅内容的网页

DNSProxy,可转送内部PC要查询的名称

具备指定路由的功能,可以自由指定封包的路由路径.

实时警讯通知(MailAlarm)在防火墙遭受攻击时会实时以邮件通知系统管理员

．提供非军事区(DMZ)连接口

．可备份,回复,重置,防火墙设定

．侦测黑客攻击/Dos攻击/SYNC攻击

．地址表/地址群组设定/服务表/服务群组设定

．外部网络至内部网络管制条例设定

．外部网络至非军事区管制条例设定

．内部网络至非军事区管制条例设定

．提供多台虚拟计算机功能设定

．提供多台虚拟服务器功能设定

．提供服务器负载平衡功能设定

．提供管制条例的时间排程表设定

．流量监控Log/Alarm/事件监控Log/Alarm

．无使用者人数授权限制

FVB-6411

VTINFOFVB-6411VPN/防火墙简介

FVB-6411VPN/防火墙通过一整套的点对点的集成（防火墙、路由、VPN）的一体化的解决方案，使员工、客户、商务伙伴与公司连接。如今，各企业可充分利用FVB-6411VPN/防火墙来达到强有力的、费用低廉的基于互联网（INTERNET）的商务组合，并享有无与伦比的通信安全。

严格的安全控制及简便的安装采用FVB-6411VPN/防火墙，所有敏感的数据都将被保护在专用的通道中并以3DES加密，FVB-6411VPN/防火墙非常易于安装。所有安全功能对于用户来说是透明的，在他们的应用程序将看不出任何变化，为简化一切，基于WEB的管理（三种语言直接切换），让您的经理可以在任何WINDOWS系统上管理多个设备，且不需经历复杂的网络设计和安装烦人的软件。

为用户节省开支最佳手段作为线路租用、帧中继的连接补充，企业可以通过INTERNET的宽频连接，FVB-6411VPN/防火墙可以将您的企业、远程伙伴、分之机构建立安全的连接，从而大幅度地减少您的远程通信的开支。

FVB-6411规格列表CPUINTELIXP400MhzSDRAM64MSDRAMFlash8MBWANPort一个10/100Base-TLAN一个10/100Base-TDMZ一个10/100Base-TPower5VDC(Autosensing)FVB-6411功能列表支持多种语言可随时切换英文/繁体中文/简体中文最大联机数同时接入的联机可达30000个NAT可以使所有计算机经由一个真实IP去浏览Internet具备Transparent模式透过网络通透模式不必修改网络架构,提供安全的网络环境MultipleNAT可以让不同的Subnet经由不同的IP出去工作排程可以按照时间来做时间的排程DHCP

服务器可以自动分配IP给局域网内的用户DHCP

客户端在CableModem及FTTB+LAN的用户可以经由ISP分配IP独立的DMZ具备独立的DMZPort,让您的网络更加安全内至外管制条例/权限管理管制内部人员使用Internet的权限外至内管制条例/权限管理可以管制外部的联机连进来您的内部网络流量监控监控您的使用流量联机纪录藉由联机纪录可以查看您的联机纪录以查找联机的问题Internet使用排行榜将内部人员使用Internet的情况自动作成一个排行榜静态路由支持静态路由虚拟服务器可以让您在内部架设如Web,FTP,Mail.....等服务器DNSProxy内建DNS代理服务器经由Internet管理及设置可藉由Internet远程进入路由器进行设置及管理经由Internet升级韧体可藉由Internet远程进入路由器进行韧体的升级指定IP分配可以经由DHCP

服务器分配固定的IP给指定的计算机使用特殊软件应用经由端口的设置,可以让您的特殊应用软件可以正常使用动态DNS支持国外,台湾,及大陆地区的动态DNS服务商防火墙功能具备防火墙功能,防止黑客的攻击网站过滤可以按照网址或是关键自来进行网站过滤具备VPNIPSec/PPTP服务器/客户端提供PPTP服务器功能,可以做LANToLAN及远程单机拨入具备VPNHUB功能可以当作VPNHUB来使用支持多种协议支持SHA-1/MD-5/DES/3DES/AUTOKEY/IKE...........等黑客预警当受到骇客攻击的时候会立即发送Mail通知管理者支持操作系统Windows95/98/ME/XP/2000,MACO/S,UNIX……

通过对群组概念的应用，可以方便的对网络存取规格进行设定。

具备NAT及Transparent模式,适用于任何环境使用。

完整的事件记录功能，可以让用户通过事件记录检查让您在可随时检查之前是否有做了不当的设定。

资料导入/备份功能，您可以在一台机器上将设置完成，然后利用这个功能，导入到其它机器中。

无使用人数的限定，无网络扩充方面的问题。

通过中/英文操作接口的设计，对用户提供了最方便的操作平台。

高度安全的设计思想。

使用状态封包检查（StatefulInspection）的技术，来过滤穿过防火墙到内部局域网的封包。

具备网络攻击DoS（DenialofService）的侦测与阻挡功能。

提供追踪警示功能，记录有安全相关的事件，并可以在紧急事件发生时，能过Mail方式提醒您。

远程管理让管理者可利用Internet设定防火墙。

利用浏览器快速操作方式,使用者可以随时更新或升级软件版本。

监控记录(Log)实时的显示并加以记录的功能,记载着所有进出宽频分享器的封包类型、时间、来源IP地址与目的IP地址。

流量统计(Statistics)记录过去进出内部局域网络的封包流量。

能过设定网咱存取规则（Policy），可以制定规则限制特定服务或应用程序。

独立的DMZ埠，可以允许Internet使用者透过防火墙存取您开放的服务器。同时，DMZ与内部局域处于两个不同的区域内。

标准的虚拟私人网络VPN功能(